Commvault erweitert Cloud Threat Scan um mehrstufige Analyseverfahren, die Schadcode in Backups aufspüren und eine gezielte Wiederherstellung sauberer Daten ermöglichen.
Angreifer hinterlassen Spuren – auch in Backups
Wer ein Unternehmensnetzwerk kompromittiert, tut das selten mit einem einzigen Schlag. Laut dem Data Breach Investigations Report 2025 von Verizon verweilen Angreifer im Durchschnitt 24 Tage unbemerkt in infiltrierten Systemen. Diese Zeit nutzen sie, um Schadcode breit zu verteilen – auch in Backup-Umgebungen. Genau dort liegt ein unterschätztes Risiko: Werden infizierte Daten ohne vorherige Prüfung wiederhergestellt, können Unternehmen einen Angriff ungewollt reaktivieren und Ausfallzeiten erheblich verlängern.
IT-Sicherheitsteams verfügen zwar häufig über Indicators of Compromise (IoC) oder Indicators of Attack (IoA). Doch diese Erkenntnisse wurden bislang selten systematisch auf Backup-Bestände angewendet. Commvault schließt diese Lücke mit einer Erweiterung seines Cloud Threat Scan.
Zwei Analysemodi für unterschiedliche Bedrohungslagen
Der aktualisierte Commvault Cloud Threat Scan bietet zwei sich ergänzende Verfahren zur Bedrohungsanalyse:
Hyper-Threat Hunting-Modus: Dieser Modus durchsucht Backup-Daten im großen Maßstab nach bekannten Kompromittierungsindikatoren. Dabei kommen Hash-basierte Suchen sowie YARA-Regeln zum Einsatz. Während Hash-Vergleiche bekannte Schadcode-Varianten anhand von Indexen schnell identifizieren, ermöglicht die YARA-Analyse das Erkennen von Mustern für eine tiefergehende Untersuchung.
Deep-Inspection-Modus: Eine mehrschichtige Dateianalyse kombiniert Malware-Signaturen, maschinelles Lernen, heuristische Verfahren und KI-gestützte Verschlüsselungserkennung. Damit lassen sich auch Bedrohungen aufdecken, die herkömmliche Systeme übersehen, weil sie keine vollständige Übereinstimmung aller Indikatoren aufweisen – etwa neuartige Ransomware-Varianten oder bislang unbekannte Schadsoftware.
Beide Modi lassen sich flexibel einsetzen: als geplante Routineprüfungen zur kontinuierlichen Überwachung oder als gezielte Analysen während eines aktiven Sicherheitsvorfalls.
Von der Analyse zur verifizierten Wiederherstellung
Die Erweiterung verbindet Bedrohungserkennung und Wiederherstellung in einem integrierten Prozess. Commvault nennt diesen Ansatz Resilience Operations (ResOps) – ein Modell, das IT-Sicherheits-, Storage- und Recovery-Teams in gemeinsamen Abläufen zusammenführt.
Kern dieser Integration ist die zum Patent angemeldete Technologie Synthetic Recovery. Sie identifiziert während der Wiederherstellung exakt jene Datensätze, die kompromittiert sind, entfernt diese gezielt und spielt ausschließlich geprüfte, saubere Daten in die Produktionssysteme zurück. So soll das Risiko einer erneuten Infektion minimiert und die Zeit bis zur Betriebswiederaufnahme verkürzt werden.
Pranay Ahlawat, Chief Technology and AI Officer bei Commvault, beschreibt den Ansatz so: Die Teams für IT-Sicherheit und IT-Betrieb müssten bei einem Vorfall nach demselben Playbook vorgehen. Bedrohungsanalysen in großem Umfang seien zunehmend Standard. Entscheidend sei, was danach passiere: die Verknüpfung der Analyse mit einer verifizierten Wiederherstellung, die sicherstellt, dass die zurückgespielten Daten fehlerfrei sind.
Verfügbarkeit und Konditionen
Commvault Cloud Threat Scan ist weltweit verfügbar – als eigenständiges Produkt sowie als Teil des Commvault-Cyberresilienzpakets. Die neuen Analysefunktionen stehen bestehenden Threat-Scan-Kunden ohne zusätzliche Kosten zur Verfügung.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de